DE102005040073B4 - Computer Security System - Google Patents

Computer Security System Download PDF

Info

Publication number
DE102005040073B4
DE102005040073B4 DE102005040073A DE102005040073A DE102005040073B4 DE 102005040073 B4 DE102005040073 B4 DE 102005040073B4 DE 102005040073 A DE102005040073 A DE 102005040073A DE 102005040073 A DE102005040073 A DE 102005040073A DE 102005040073 B4 DE102005040073 B4 DE 102005040073B4
Authority
DE
Germany
Prior art keywords
tpm
user
bios
authentication data
user key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102005040073A
Other languages
German (de)
Other versions
DE102005040073A1 (en
Inventor
Lan Cypress Wang
Jennifer Spring Rios
Valiuddin Houston Ali
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of DE102005040073A1 publication Critical patent/DE102005040073A1/en
Application granted granted Critical
Publication of DE102005040073B4 publication Critical patent/DE102005040073B4/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Abstract

Computersicherheitssystem, das folgende Merkmale aufweist:
ein Vertrauenswürdige-Plattform-Modul (TPM = trusted platform module) (16), um auf eine Aufforderung hin zumindest einen TPM-Benutzerschlüssel (50) zu erzeugen;
ein Registrierungsmodul (40), um Benutzer bezüglich einer Durchführung eines sicheren Boot-Prozesses unter Verwendung des TPM (16) zu registrieren, wobei das Registrierungsmodul (40) konfiguriert ist, um:
erste Benutzeridentifizierungsdaten (60) und erste TPM-Authentifizierungsdaten (62) von einem Benutzer zu empfangen (106);
das TPM aufzufordern (112), einen TPM-Benutzerschlüssel (50) unter Verwendung der ersten TPM-Authentifizierungsdaten (62) zu erzeugen; und
den TPM-Benutzerschlüssel (50) zu speichern und ihn den ersten Benutzeridentifizierungsdaten (60) zuzuordnen (116);
ein Basis-Eingabe/Ausgabe-System (BIOS = basic input/output system) (14), das konfiguriert ist, um anschließend zweite Benutzeridentifizierungsdaten (60) und zweite TPM-Authentifizierungsdaten (62) von dem Benutzer zum Einleiten eines Boot-Prozesses zu empfangen (204), wobei das BIOS (14) konfiguriert ist, um eine Schnittstelle mit dem TPM (16) zu bilden, um eine Validierung der zweiten TPM-Authentifizierungsdaten (62) durch...Computer security system, comprising:
a trusted platform module (TPM) (16) for generating at least one TPM user key (50) upon a request;
a registration module (40) for registering users to perform a secure boot process using the TPM (16), the registration module (40) configured to:
receiving first user identification data (60) and first TPM authentication data (62) from a user (106);
prompting the TPM (112) to generate a TPM user key (50) using the first TPM authentication data (62); and
store the TPM user key (50) and associate it with the first user identification data (60) (116);
a basic input / output system (BIOS) configured to subsequently connect second user identification data (60) and second TPM authentication data (62) from the user to initiate a boot process (204), wherein the BIOS (14) is configured to interface with the TPM (16) to enable validation of the second TPM authentication data (62) by ...

Figure 00000001
Figure 00000001

Description

Computersysteme wirken allgemein unter der Steuerung oder Ausführung eines Betriebssystems (OS = operating system). Betriebssysteme erfordern einen Ladeprozess (d. h. „Boot”-Prozess), um das OS in einen Computerspeicher zu laden. Der Boot-Prozess umfasst allgemein ein Lokalisieren eines Basis-Eingabe/Ausgabe-Systems (BIOS = basic input/output system), ein Laden des BIOS für eine Ausführung und ein Übergeben der Steuerung des Computersystems an das BIOS. Danach lädt das BIOS das OS.computer systems generally operate under the control or execution of an operating system (OS = operating system). Operating systems require a loading process (i.e., "boot" process) to the OS to load into a computer memory. The boot process includes generally locating a basic input / output system (BIOS = basic input / output system), a loading of the BIOS for execution and a surrender controlling the computer system to the BIOS. After that, the BIOS loads the OS.

Es existieren verschiedene Verfahren zum Sichern oder Steuern des Boot-Prozesses eines Computersystems. Ein derartiges Verfahren umfasst z. B., dass das BIOS ein Passwort, das durch einen Benutzer des Computersystems geliefert wird, mit Daten verifiziert, die in dem BIOS gespeichert sind. Das BIOS bleibt jedoch empfindlich für einen Angriff, wodurch ein nicht autorisierter Zugriff auf das Boot-Passwort ermöglicht wird.It There are various methods for saving or controlling the boot process a computer system. Such a method includes, for. B. that the BIOS has a password created by a user of the computer system is supplied verified with data stored in the BIOS are. However, the BIOS remains sensitive to an attack, causing a unauthorized access to the boot password is enabled.

Die US 2004/0073806 A1 beschreibt eine Basisplatinenverwaltungssteuerung mit einem internen kryptographischen Dienstmodul oder TPM und insbesondere einen Prozessor, der dazu geeignet ist, einen Programmcode auszuführen, der BIOS-Befehle umfasst. Ansprechend auf die Einleitung eines Boot-Prozesses wird eine kryptografische Überprüfung durch eine Steuerung durchgeführt wird, um die Integrität des BIOS-Bildes zu überprüfen.The US 2004/0073806 A1 describes a base board management controller with an internal cryptographic service module or TPM, and more particularly to a processor capable of executing a program code comprising BIOS commands. In response to the initiation of a boot process, a cryptographic check is performed by a controller to verify the integrity of the BIOS image.

Die US 6,633,981 B1 beschreibt eine BIOS-Vorrichtung mit einer BIOS-Zustandsmaschine, die in der Lage ist, die BIOS-Vorrichtung in einen abgesperrten Zustand zu versetzen, falls ein Prozessor versucht, auf Informationen in einem speziellen Abschnitt der BIOS-Vorrichtung zuzugreifen, be vor eine Authentifizierung eines Tokens durch die BIOS-Zustandsmaschine durchgeführt worden ist. Dabei wird in der US 6,633,981 B1 unter einem „Token” eine integrierte Schaltung verstanden, die in der Lage ist, mit einem Token-Leser, wie z. B. einer Smartcard, einer Infrarot oder HF-sendenden Vorrichtung in Pager-Größe oder dergleichen, zu kommunizieren.The US 6,633,981 B1 describes a BIOS device having a BIOS state machine capable of placing the BIOS device in a locked state if a processor attempts to access information in a particular portion of the BIOS device prior to authentication of a BIOS state machine Tokens has been performed by the BIOS state machine. It is in the US 6,633,981 B1 a "token" is understood to mean an integrated circuit which is capable of being used with a token reader such as a token. As a smart card, an infrared or RF transmitting device in pager size or the like to communicate.

In der US 6,633,981 B1 werden nun während der Konfiguration der elektronischen Vorrichtung bzw. des elektronischen Systems eine oder mehrere öffentliche Schlüssel von autorisierten Benutzern oder Tokens in einen internen Speicher der BIOS-Vorrichtung geladen, wobei während des Boot-Prozesses die BIOS-Zustandsmaschine eine Aufforderungs(Challenge-)Nachricht erzeugt, die dem Token über einen Prozessor und einen Token-Leser bereitgestellt wird. Die „Challenge-Nachricht” umfasst dabei normalerweise Signale, die einer Zufallszahl entsprechen, die intern durch die BIOS-Vorrichtung erzeugt worden ist. Die US 6,633,981 B1 offenbart ferner, dass der Token eine Antwort-Nachricht erzeugt und die Antwort-Nachricht an die BIOS-Vorrichtung zurücksendet. Die „Antwort-Nachricht” umfasst entweder die Zufallszahl oder eine Nachricht, in die die Zufallszahl eingebaut ist, und zwar digital signiert mit einem privaten Schlüssel des Tokens. Danach entschlüsselt die BIOS-Vorrichtung die digitale Signatur unter Verwendung des zuvor abgespeicherten öffentlichen Schlüssels des Tokens, um die Zufallszahl bzw. die Nachricht, in die die Zufallszahl eingebaut ist, wiederzugewinnen und eine Übereinstimmung zu verifizieren, um es dem Prozessor zu ermöglichen, auf zusätzlichen BIOS-Code aus der BIOS-Vorrichtung zuzugreifen, in dem Fall, dass eine Übereinstimmung vorliegt.In the US 6,633,981 B1 During the configuration of the electronic device or the electronic system, one or more public keys are then loaded from authorized users or tokens into an internal memory of the BIOS device, wherein during the boot process the BIOS state machine issues a challenge message which is provided to the token via a processor and a token reader. The "challenge message" normally includes signals corresponding to a random number generated internally by the BIOS device. The US 6,633,981 B1 further discloses that the token generates a response message and returns the response message to the BIOS device. The "reply message" includes either the random number or a message incorporating the random number, digitally signed with a private key of the token. Thereafter, the BIOS device decrypts the digital signature using the previously stored public key of the token to retrieve the random number or message into which the random number is incorporated and to verify a match to allow the processor to be additional Accessing BIOS code from the BIOS device in case there is a match.

Es ist die Aufgabe der vorliegenden Erfindung, ein Computersicherheitssystem mit verbesserten Charakteristika zu schaffen.It The object of the present invention is a computer security system with improved characteristics.

Diese Aufgabe wird durch ein System gemäß Anspruch 1 gelöst These The object is achieved by a system according to claim 1

Für ein vollständigeres Verständnis der vorliegenden Erfindung und der Vorteile derselben wird nun Bezug auf die folgenden Beschreibungen in Verbindung mit den zugehörigen Zeichnungen genommen.For a more complete understanding The present invention and the advantages thereof will now be referred to to the following descriptions in conjunction with the accompanying drawings taken.

Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:preferred embodiments The present invention will be described below with reference to FIG the enclosed drawings closer explained. Show it:

1 ein Diagramm, das ein Ausführungsbeispiel eines Computersicherheitssystems gemäß der vorliegenden Erfindung darstellt; 1 Fig. 12 is a diagram illustrating an embodiment of a computer security system according to the present invention;

2 ein Diagramm, das ein Ausführungsbeispiel einer Registrierungsoperation darstellt, die unter Verwendung des Computersicherheitssystems von 1 durchgeführt wird; 2 4 is a diagram illustrating one embodiment of a registration operation performed using the computer security system of FIG 1 is carried out;

3 ein Diagramm, das ein Ausführungsbeispiel einer Authentifizierungsoperation darstellt, die unter Verwendung des Computersicherheitssystems von 1 durchgeführt wird; 3 FIG. 4 is a diagram illustrating one embodiment of an authentication operation performed using the computer security system of FIG 1 is carried out;

4 ein Flussdiagramm, das ein Ausführungsbeispiel eines Registrierungsverfahrens unter Verwendung des Computersicherheitssystems von 1 gemäß der vorliegenden Erfindung darstellt; und 4 a flowchart illustrating an embodiment of a registration method using the computer security system of 1 according to the present invention; and

5 ein Flussdiagramm, das ein Ausführungsbeispiel eines Authentifizierungsverfahrens unter Verwendung des Computersicherheitssystems von 1 gemäß der vorliegenden Erfindung darstellt. 5 a flowchart illustrating an embodiment of an authentication method using the computer security system from 1 according to the present invention.

Die bevorzugten Ausführungsbeispiele der vorliegenden Erfindung und die Vorteile derselben werden am besten durch Bezugnahme auf 1 bis 5 der Zeichnungen verständlich, wobei gleiche Bezugszeichen für gleiche und entsprechende Teile der verschiedenen Zeichnungen verwendet werden.The preferred embodiments of the present invention and the advantages thereof are best understood by reference to FIG 1 to 5 with reference to the drawings, wherein like reference numerals are used for like and corresponding parts of the various drawings.

1 ist ein Diagramm, das ein Ausführungsbeispiel eines Computersicherheitssystems 10 gemäß der vorliegenden Erfindung darstellt. Bei dem in 1 dargestellten Ausführungsbeispiel weist das System 10 einen Prozessor 12 auf, der kommunikativ mit einem Basis-Eingabe/Ausgabe-System (BIOS = basic input/output system) 14, einem Vertrauenswürdige-Plattform-Modul (TPM = trusted platform module) 16, einem Speicher 18 und (einer) Eingang/Ausgang-Vorrichtung(en) (I/O-Vorrichtung; I/O = input/output) 20 gekoppelt ist. Eine I/O-Vorrichtung (I/O-Vorrichtungen) 20 kann (können) irgendeinen Typ einer Vorrichtung (von Vorrichtungen) zum Eingeben von Informationen in das System 10 oder Empfangen einer Informationsausgabe von dem System 10 aufweisen, einschließlich aber nicht begrenzt auf eine Tastatur, eine Maus, ein Mikrofon, eine Anzeige, einen Drucker oder einen Lautsprecher. Bei dem in 1 dargestellten Ausführungsbeispiel weist das BIOS 14 ein TPM-Boot-Modul 30 und einen Speicher 32 auf. Das TPM-Boot-Modul 30 kann eine Software, eine Hardware, eine Kombination einer Software und einer Hardware aufweisen. Bei einigen Ausführungsbeispielen der vorliegenden Erfindung wirkt das TPM-Boot-Modul 30 mit dem TPM 16 zusammen, um einen sicheren Boot-Prozess für ein Computersystem unter Verwendung kryptografischer Eigenschaften des TPM 16 bereitzustellen. Es ist jedoch klar, dass andere Ausführungsbeispiele der vorliegenden Erfindung konfiguriert sein können, um einen sicheren Boot-Prozess für andere Anwendungen und/oder Vorrichtungen bereitzustellen (z. B. einleiten oder booten einer Softwareanwendung oder Treibervorrichtung). Zusätzlich ist klar, dass das System 10 in irgendeinem einer Vielzahl von Typen von Rechenvorrichtungen oder -systemen implementiert sein kann, einschließlich aber nicht begrenzt auf einen Personal- oder Tischcomputer, einen Personaldigitalassistenten (PDA = personal digital assistant), einen Notebook- oder Laptop-Computer, einen Tablet-Computer, einen Arbeitsplatzrechner und einen Server. 1 is a diagram illustrating an embodiment of a computer security system 10 according to the present invention. At the in 1 illustrated embodiment, the system 10 a processor 12 communicating with a basic input / output system (BIOS) 14 , a trusted platform module (TPM) 16 , a store 18 and (an) input / output device (s) (I / O device; I / O = input / output) 20 is coupled. An I / O device (I / O devices) 20 may include any type of device (s) for entering information into the system 10 or receiving an informational output from the system 10 including, but not limited to, a keyboard, mouse, microphone, display, printer, or speaker. At the in 1 illustrated embodiment, the BIOS 14 a TPM boot module 30 and a memory 32 on. The TPM boot module 30 may include software, hardware, a combination of software and hardware. In some embodiments of the present invention, the TPM boot module operates 30 with the TPM 16 put together a secure boot process for a computer system using cryptographic properties of the TPM 16 provide. However, it is understood that other embodiments of the present invention may be configured to provide a secure boot process for other applications and / or devices (eg, initiate or boot a software application or driver device). In addition, it is clear that the system 10 may be implemented in any of a variety of types of computing devices or systems, including, but not limited to, a personal or desktop computer, a personal digital assistant (PDA), a notebook or laptop computer, a tablet computer, a personal digital assistant Workstation and a server.

Bei dem in 1 dargestellten Ausführungsbeispiel ist ein Registrierungsmodul 40 innerhalb des Speichers 18 gespeichert, um durch den Prozessor 12 zugreifbar und ausführbar zu sein. Das Registrierungsmodul 40 kann eine Software, eine Hardware oder eine Kombination einer Software und einer Hardware aufweisen. Das Registrierungsmodul 40 kann als ein Teil eines Betriebssystems oder einer anderen Anwendung oder Plattform implementiert sein. Ferner kann das Registrierungsmodul 40 als ein Teil des BIOS 14 implementiert sein.At the in 1 illustrated embodiment is a registration module 40 inside the store 18 saved to the processor 12 accessible and executable. The registration module 40 may include software, hardware or a combination of software and hardware. The registration module 40 may be implemented as part of an operating system or other application or platform. Furthermore, the registration module 40 as part of the BIOS 14 be implemented.

Bei einigen Ausführungsbeispielen der vorliegenden Erfindung, z. B. einer sicheren Computer-Boot-Operation, führt ansprechend auf eine Aktivierung oder Freigabe des TPM-Boot-Moduls 30 das Registrierungsmodul 40 eine Registrierungsoperation durch, um Informationen von einem Benutzer des Systems 10 zu erfassen bzw. zu gewinnen, um einen sicheren Boot-Prozess unter Verwendung des TPM 16 zu ermöglichen. Bei dem in 1 dargestellten Ausführungsbeispiel weist der Speicher 32 des BIOS 14 z. B. Authentifizierungs daten 44 auf, die durch das BIOS 14 und das TPM 16 verwendet werden, um einen Zugriff auf sichere Computerressourcen und/oder eine Einleitung derselben, wie beispielsweise eines sicheren Computer-Boot-Prozesses zu steuern. Bei dem in 1 dargestellten Ausführungsbeispiel weisen die Authentifizierungsdaten 44 Benutzeridentifizierungsdaten 60 und einen TPM-Benutzerschlüssel 50 auf. Die Benutzeridentifizierungsdaten 60 weisen Informationen auf, die einem Identifizieren eines speziellen Benutzers des Systems 10 zugeordnet sind, wie beispielsweise aber nicht begrenzt auf einen Benutzernamen, ein Passwort, Biometrik und/oder eine Kombination derselben. Der TPM-Benutzerschlüssel 50 weist Informationen auf, die durch das TPM 16 erzeugt und/oder interpretierbar sind, wie beispielsweise ein undurchlässiges großes Binärobjekt (BLOB = binary large objekt).In some embodiments of the present invention, e.g. Secure computer boot operation, in response to activation or release of the TPM boot module 30 the registration module 40 a registration operation to get information from a user of the system 10 to capture or gain a safe boot process using the TPM 16 to enable. At the in 1 illustrated embodiment, the memory 32 of the BIOS 14 z. B. authentication data 44 on that through the bios 14 and the TPM 16 used to control access to secure computer resources and / or initiation thereof, such as a secure computer boot process. At the in 1 illustrated embodiment, the authentication data 44 User identification data 60 and a TPM user key 50 on. The user identification data 60 have information identifying a specific user of the system 10 associated with, but not limited to, a username, password, biometrics, and / or a combination thereof. The TPM user key 50 has information provided by the TPM 16 are generated and / or interpretable, such as an impermeable large binary object (BLOB).

2 ist ein Diagramm, das ein Ausführungsbeispiel einer Registrierungsoperation unter Verwendung des Systems 10 gemäß der vorliegenden Erfindung darstellt. Bei einigen Ausführungsbeispielen der vorliegenden Erfindung wird die Registrierungsoperation durchgeführt, um eine nachfolgende sichere Boot-Operation zu ermöglichen. In Betrieb aktiviert ein Benutzer, ein Systemadministrator oder eine andere Entität oder Strategie das TPM-Boot-Modul 30 oder gibt dasselbe anderweitig frei, um eine Boot-Operation eines Computersystems unter Verwendung kryptografischer Eigenschaften des TPM 16 zu steuern. Ansprechend auf eine Freigabe des TPM-Boot-Moduls 30 führt das Registrierungsmodul 40 einen Benutzerregistrierungsprozess durch ein Anfordern oder anderweitiges Erfassen der Benutzeridentifizierungsdaten 60 und der TPM-Authentifizierungsdaten 62 von dem Benutzer durch. Die TPM-Authentifizierungsdaten 62 weisen Informationen auf, die einem Zugreifen auf das TPM 16 und/oder einem anderweitigen Verifizieren einer Identität eines Benutzers zugeordnet sind, der versucht auf das TPM 16 zuzugreifen oder dasselbe anderweitig zu verwenden, wie beispielsweise aber nicht begrenzt auf ein TPM-Passwort. Der Registrierungsprozess kann für einen einzigen Benutzer oder mehrere Benutzer (d. h. wie beispielsweise in einer gemeinschaftlich verwendeten Rechenumgebung) durchgeführt werden. 2 FIG. 13 is a diagram illustrating one embodiment of a registration operation using the system. FIG 10 according to the present invention. In some embodiments of the present invention, the registration operation is performed to facilitate a subsequent secure boot operation. In operation, a user, system administrator, or other entity or strategy activates the TPM boot module 30 or otherwise otherwise releases it to boot a computer system using cryptographic properties of the TPM 16 to control. In response to a release of the TPM boot module 30 Run the registration module 40 a user registration process by requesting or otherwise collecting the user identification data 60 and the TPM authentication data 62 by the user. The TPM authentication data 62 have information related to accessing the TPM 16 and / or otherwise verifying an identity of a user attempting the TPM 16 access or otherwise use the same, such as but not limited to a TPM password. The registration process can be for a single user or multiple users (ie, such as in a shared computing environment).

Bei dem in 2 dargestellten Ausführungsbeispiel werden die Benutzeridentifizierungsdaten 60 und die TPM-Authentifizierungsdaten 62 von einem Benutzer angefordert und/oder anderweitig durch das Registrierungsmodul 40 empfangen. Das Registrierungsmodul 40 sendet die TPM-Authentifizierungsdaten 62 zu dem TPM 16 und fordert eine Erzeugung des TPM-Benutzerschlüssels 50 durch das TPM 16 basierend auf den TPM-Authentifizierungsdaten 62 an. Das Registrierungsmodul 40 empfängt den TPM-Benutzerschlüssel 50 von dem TPM 16 und sendet sowohl den TPM-Benutzerschlüssel 50 als auch die Benutzeridentifizierungsdaten 62 für eine Speicherung durch das BIOS 14 zu dem BIOS 14 oder bewirkt anderweitig die Übertragung derselben.At the in 2 Illustrated embodiment, the user identification data 60 and the TPM authentication data 62 requested by a user and / or otherwise by the registration module 40 receive. The registration module 40 sends the TPM authentication data 62 to the TPM 16 and requests generation of the TPM user key 50 through the TPM 16 based on the TPM authentication data 62 at. The registration module 40 receives the TPM user key 50 from the TPM 16 and sends both the TPM user key 50 as well as the user identification data 62 for storage by the BIOS 14 to the BIOS 14 or otherwise causes the transmission thereof.

3 ist ein Diagramm, das ein Ausführungsbeispiel eines Computersicherheitsauthentifizierungsprozesses unter Verwendung des Systems 10 gemäß der vorliegenden Erfindung darstellt. Bei dem in 3 dargestellten Ausführungsbeispiel ist der Authentifizierungsprozess zu einer sicheren Computer-Boot-Operation hin gerichtet. Es ist jedoch klar, dass Ausführungsbeispiele der vorliegenden Erfindung anderweitig konfiguriert sein können, um sichere Boot-Operationen für andere Anwendungen durchzuführen. In Betrieb, während eines nachfolgenden Boot-Prozesses ansprechend auf eine Aktivierung oder Freigabe des TPM-Boot-Moduls 30 und eine Erfassung und/oder Erzeugung des TPM-Benutzerschlüssels 50, fordert das TPM-Boot-Modul 30 die Benutzeridentifizierungsdaten 60 und die TPM-Authentifizierungsdaten 62 von einem Benutzer an und/oder empfängt dieselben anderweitig. Bei dem in 3 dargestellten Ausführungsbeispiel werden die TPM-Authentifizierungsdaten 62 durch das System nicht während des Registrierungsprozesses gespeichert und werden deshalb durch den Benutzer während der nachfolgenden Boot-Operation geliefert. Der Benutzer kann beispielsweise die TPM- Authentifizierungsdaten 62 während der nachfolgenden Boot-Operation über die I/O-Vorrichtung 20 liefern. 3 FIG. 10 is a diagram illustrating one embodiment of a computer security authentication process using the system. FIG 10 according to the present invention. At the in 3 In the illustrated embodiment, the authentication process is directed toward a secure computer boot operation. However, it should be understood that embodiments of the present invention may be otherwise configured to perform secure booting operations for other applications. In operation, during a subsequent boot process in response to activation or release of the TPM boot module 30 and capturing and / or generating the TPM user key 50 , prompts the TPM boot module 30 the user identification data 60 and the TPM authentication data 62 from a user and / or otherwise receiving them. At the in 3 illustrated embodiment, the TPM authentication data 62 are not stored by the system during the registration process and are therefore supplied by the user during the subsequent boot operation. For example, the user may use the TPM authentication data 62 during the subsequent boot operation via the I / O device 20 deliver.

Das TPM-Boot-Modul 30 empfängt die TPM-Authentifizierungsdaten 62 von dem Benutzer und identifiziert und/oder erlangt den TPM-Benutzerschlüssel 50, der dem Benutzer zugeordnet ist, anderweitig wieder. Bei einigen Ausführungsbeispielen der vorliegenden Erfindung fordert das Boot-Modul 30 den Benutzer auf oder fordert anderweitig an, die Benutzeridentifizierungsdaten 60 zu liefern, die das Boot-Modul 30 verwendet, um den TPM-Benutzerschlüssel 50 zu identifizieren, der dem Benutzer zugeordnet ist. Bei anderen Ausführungsbeispielen der vorliegenden Erfindung ist das Boot-Modul 30 konfiguriert, um eine Auflistung von verfügbaren Benutzeridentifizierungsdaten 60 für eine Auswahl durch den Benutzer anzuzeigen, derart, dass die ausgewählten Benutzeridentifizierungsdaten 60 durch das Boot-Modul 30 verwendet werden, um den TPM-Benutzerschlüssel 50 zu identifizieren, der dem Benutzer zugeordnet ist. Das TPM-Boot-Modul 30 sendet oder lädt den TPM-Benutzerschlüssel 50 und die TPM-Authentifizierungsdaten 62, die von dem Benutzer empfangen werden, anderweitig zu dem TPM 16 und fordert eine Verifizierung der TPM-Authentifizierungsdaten 62 durch das TPM 16 unter Verwendung des TPM-Benutzerschlüssels 50 an. Falls die TPM-Authentifizierungsdaten 62 dem TPM-Benutzerschlüssel 50 entsprechen, werden Authentifizierungsergebnisse 68, die eine positive Verifizierung oder Authentifizierung ergeben, zu dem BIOS 14 gesendet oder anderweitig weitergeleitet, um zu ermöglichen, dass das BIOS 14 mit dem Boot-Prozess fortfährt. Falls die TPM-Authentifizierungsdaten 62 nicht dem TPM-Benutzerschlüssel 50 entsprechen, werden Authentifizierungsergebnisse 68, die eine negative Verifizierung oder Authentifizierung angeben, zu dem BIOS 14 gesendet oder anderweitig weitergeleitet, derart, dass das BIOS 14 den Boot-Authentifizierungsprozess wiederholen oder den Boot-Prozess beenden kann.The TPM boot module 30 receives the TPM authentication data 62 from the user and identifies and / or obtains the TPM user key 50 otherwise assigned to the user. In some embodiments of the present invention, the boot module requests 30 the user or otherwise requests the user identification data 60 to deliver the the boat module 30 used the TPM user key 50 identify that is associated with the user. In other embodiments of the present invention, the boot module is 30 configured to provide a listing of available user identification data 60 for selection by the user, such that the selected user identification data 60 through the boot module 30 used to be the TPM user key 50 identify that is associated with the user. The TPM boot module 30 sends or loads the TPM user key 50 and the TPM authentication data 62 otherwise received by the user to the TPM 16 and asks for verification of the TPM authentication data 62 through the TPM 16 using the TPM user key 50 at. If the TPM authentication data 62 the TPM user key 50 match, become authentication results 68 that give a positive verification or authentication to the BIOS 14 sent or otherwise forwarded to allow the BIOS 14 continues with the boot process. If the TPM authentication data 62 not the TPM user key 50 match, become authentication results 68 that indicate a negative verification or authentication to the BIOS 14 sent or otherwise forwarded, such that the BIOS 14 repeat the boot authentication process or stop the boot process.

4 ist ein Flussdiagramm, das ein Ausführungsbeispiel eines Computersicherheitsregistrierungsverfahrens unter Verwendung des Systems 10 gemäß der vorliegenden Erfindung darstellt. Das Verfahren beginnt bei Block 100, bei dem das TPM-Boot-Modul 30 freigegeben bzw. aktiviert wird. Bei einem Block 102 wird das Registrierungsmodul 40 eingeleitet, um eine Registrierungsoperation durchzuführen. Bei einem Block 104 fordert das Registrierungsmodul 40 die Benutzeridentifizierungsdaten 60 an. Bei einem Block 106 empfängt das Registrierungsmodul 40 die Benutzeridentifizierungsdaten 60 von dem Benutzer. Bei einem Block 108 fordert das Registrierungsmodul 40 die TPM-Authentifizierungsdaten 62 von dem Benutzer an. Bei einem Block 110 empfängt das Registrierungsmodul 40 die TPM-Authentifizierungsdaten 62 von dem Benutzer. 4 FIG. 10 is a flowchart illustrating an embodiment of a computer security registration method using the system. FIG 10 according to the present invention. The procedure starts at block 100 where the TPM boot module 30 is released or activated. At a block 102 becomes the registration module 40 initiated to perform a registration operation. At a block 104 asks for the registration module 40 the user identification data 60 at. At a block 106 receives the registration module 40 the user identification data 60 from the user. At a block 108 asks for the registration module 40 the TPM authentication data 62 from the user. At a block 110 receives the registration module 40 the TPM authentication data 62 from the user.

Bei einem Block 112 sendet oder bewirkt das Registrierungsmodul 40 anderweitig, dass die TPM-Authentifizierungsdaten 62 zu dem TPM 16 kommuniziert werden, und fordert eine Erzeugung des TPM-Benutzerschlüssels 50 durch das TPM 16 basierend auf den TPM-Authentifizierungsdaten 62 an. Bei einem Block 114 erzeugt das TPM 16 den TPM-Benutzerschlüssel 50 basierend auf den TPM-Authentifizierungsdaten 62. Bei einem Block 116 sendet das Registrierungsmodul 40 den TPM-Benutzerschlüssel 50 und die Benutzeridentifizierungsdaten 60 zu dem BIOS 14 oder bewirkt anderweitig, dass dieselben in dem BIOS 14 gespeichert werden.At a block 112 sends or effects the registration module 40 otherwise, that the TPM authentication data 62 to the TPM 16 be communicated and request generation of the TPM user key 50 through the TPM 16 based on the TPM authentication data 62 at. At a block 114 generates the TPM 16 the TPM user key 50 based on the TPM authentication data 62 , At a block 116 sends the registration module 40 the TPM user key 50 and the user identification data 60 to the BIOS 14 or otherwise causes them to be in the BIOS 14 get saved.

5 ist ein Flussdiagramm, das ein Ausführungsbeispiel einer Computersicherheitsauthentifizierungsoperation unter Verwendung des Systems 10 gemäß der vorliegenden Erfindung darstellt. Bei dem in 5 dargestellten Ausführungsbeispiel ist die Authentifizierungsoperation zu einer sicheren Computer-Boot-Operation hin gerichtet, es ist jedoch klar, dass eine andere sichere Anwendung unter Verwendung des Systems 10 gemäß anderen Ausführungsbeispielen der vorliegenden Erfindung durchgeführt werden kann. Das Verfahren beginnt bei einem Entscheidungsblock 200, bei dem eine Be stimmung vorgenommen wird, ob das TPM-Boot-Modul 30 freigegeben bzw. aktiviert ist. Falls das TPM-Boot-Modul 30 nicht freigegeben ist, geht das Verfahren zu einem Block 218 über, bei dem das BIOS 14 einen Boot-Prozess für ein Computersystem durchführt. Falls das TPM-Boot-Modul 30 freigegeben ist, geht das Verfahren von dem Block 200 zu einem Block 202 über, bei dem das TPM-Boot-Modul 30 die Benutzeridentifizierungsdaten 60 von dem Benutzer anfordert. Bei einem Block 204 empfängt das TPM-Boot-Modul 30 die Benutzeridentifizierungsdaten 60 von dem Benutzer. Bei einem Block 206 fordert das TPM-Boot-Modul 30 die TPM-Authentifizierungsdaten 62 von dem Benutzer an. Bei einem Block 208 empfängt das TPM-Boot-Modul 30 die TPM-Authentifizierungsdaten 62 von dem Benutzer. 5 FIG. 10 is a flowchart illustrating one embodiment of a computer security authentication operation using the system. FIG 10 according to the present invention. At the in 5 In the illustrated embodiment, the authentication operation is directed toward a secure computer boot operation, but it will be appreciated that another secure application using the system 10 can be performed according to other embodiments of the present invention. The procedure begins at a decision block 200 in which a determination is made whether the TPM boot module 30 is enabled or activated. If the TPM boot module 30 is not released, the procedure goes to a block 218 over where the BIOS 14 performs a boot process for a computer system. If the TPM boot module 30 is released, the procedure goes from the block 200 to a block 202 over where the TPM boot module 30 the user identification data 60 requested by the user. At a block 204 receives the TPM boot module 30 the user identification data 60 from the user. At a block 206 requests the TPM boot module 30 the TPM authentication data 62 from the user. At a block 208 receives the TPM boot module 30 the TPM authentication data 62 from the user.

Bei einem Block 210 greift das TPM-Boot-Modul 30 auf den TPM-Benutzerschlüssel 50 von dem Speicher 32 des BIOS 14 entsprechend den Benutzeridentifizierungsdaten 60 zu oder erlangt denselben anderweitig wieder. Bei einem Block 212 sendet das TPM-Boot-Modul 30 den TPM-Benutzerschlüssel 50 und die TPM-Authentifizierungsdaten 62 zu dem TPM 16 oder kommuniziert dieselben anderweitig. Bei einem Block 214 fordert das TPM-Boot-Modul 30 eine Verifizierung der TPM-Authentifizierungsdaten 62 durch das TPM 16 unter Verwendung des TPM-Benutzerschlüssels 50 an. Bei einem Entscheidungsblock 216 wird eine Bestimmung vorgenommen, ob eine Verifizierung der TPM-Authentifizierungsdaten 62 durch das TPM 16 erfolgreich ist. Falls die TPM-Authentifizierungsdaten 62 dem TPM-Benutzerschlüssel 50 nicht entsprechen, geht das Verfahren zu dem Block 202 über, bei dem das TPM-Boot-Modul 30 konfiguriert sein kann, um den Boot-Authentifizierungsprozess zu wiederholen. Falls die TPM-Authentifizierungsdaten 62 dem TPM-Benutzerschlüssel 50 entsprechen oder anderweitig durch das TPM 16 verifiziert werden, geht das Verfahren zu einem Block 218 über, bei dem das BIOS 14 den Boot-Prozess fortführt oder anderweitig einleitet.At a block 210 picks up the TPM boot module 30 to the TPM user key 50 from the store 32 of the BIOS 14 according to the user identification data 60 or otherwise obtain it again. At a block 212 sends the TPM boot module 30 the TPM user key 50 and the TPM authentication data 62 to the TPM 16 or otherwise communicate the same. At a block 214 requests the TPM boot module 30 a verification of the TPM authentication data 62 through the TPM 16 using the TPM user key 50 at. At a decision block 216 a determination is made as to whether to verify the TPM authentication data 62 through the TPM 16 is successful. If the TPM authentication data 62 the TPM user key 50 do not match, the method goes to the block 202 over where the TPM boot module 30 can be configured to repeat the boot authentication process. If the TPM authentication data 62 the TPM user key 50 or otherwise by the TPM 16 be verified, the process goes to a block 218 over where the BIOS 14 continues or otherwise initiates the boot process.

Somit ermöglichen Ausführungsbeispiele der vorliegenden Erfindung einen sicheren Boot-Prozess eines Computersystems unter Verwendung kryptografischer Eigenschaften eines Vertrauenswürdige-Plattform-Moduls (d. h. dem TPM 16). Bei einigen Ausführungsbeispielen der vorliegenden Erfindung werden lediglich verschlüsselte Informationen, die durch das Vertrauenswürdige-Plattform-Modul interpretierbar sind, durch das Computersystem gespeichert, derart, dass während einer Boot-Operation das Vertrauenswürdige-Plattform-Modul die verschlüsselten Informationen unter Verwendung von Informationen entschlüsselt, die durch den Benutzer während der Boot-Operation geliefert werden, um den Benutzer zu authentifizieren und weitere Boot-Prozesse für das Computersystem zu autorisieren. Es ist klar, dass bei den Ausführungsbeispielen des in 4 und 5 beschriebenen Verfahrens der vorliegenden Erfindung bestimmte Funktionen weggelassen, kombiniert oder in einer unterschiedlichen als der in 4 und 5 gezeigten Sequenz erzielt werden können. Ferner ist klar, dass die in 4 und 5 gezeigten Verfahren geändert werden können, um irgendwelche der anderen Merkmale oder Aspekte zu umschließen, die anderswo in der Beschreibung beschrieben sind.Thus, embodiments of the present invention enable a secure boot process of a computer system using cryptographic properties of a trusted platform module (ie, the TPM 16 ). In some embodiments of the present invention, only encrypted information that is interpretable by the trusted platform module is stored by the computer system such that during a boot operation, the trusted platform module decrypts the encrypted information using information, provided by the user during the boot operation to authenticate the user and authorize further boot processes for the computer system. It is clear that in the embodiments of the in 4 and 5 described method of the present invention, certain functions omitted, combined or in a different than in 4 and 5 shown sequence can be achieved. It is also clear that the in 4 and 5 can be changed to encompass any of the other features or aspects described elsewhere in the specification.

Claims (10)

Computersicherheitssystem, das folgende Merkmale aufweist: ein Vertrauenswürdige-Plattform-Modul (TPM = trusted platform module) (16), um auf eine Aufforderung hin zumindest einen TPM-Benutzerschlüssel (50) zu erzeugen; ein Registrierungsmodul (40), um Benutzer bezüglich einer Durchführung eines sicheren Boot-Prozesses unter Verwendung des TPM (16) zu registrieren, wobei das Registrierungsmodul (40) konfiguriert ist, um: erste Benutzeridentifizierungsdaten (60) und erste TPM-Authentifizierungsdaten (62) von einem Benutzer zu empfangen (106); das TPM aufzufordern (112), einen TPM-Benutzerschlüssel (50) unter Verwendung der ersten TPM-Authentifizierungsdaten (62) zu erzeugen; und den TPM-Benutzerschlüssel (50) zu speichern und ihn den ersten Benutzeridentifizierungsdaten (60) zuzuordnen (116); ein Basis-Eingabe/Ausgabe-System (BIOS = basic input/output system) (14), das konfiguriert ist, um anschließend zweite Benutzeridentifizierungsdaten (60) und zweite TPM-Authentifizierungsdaten (62) von dem Benutzer zum Einleiten eines Boot-Prozesses zu empfangen (204), wobei das BIOS (14) konfiguriert ist, um eine Schnittstelle mit dem TPM (16) zu bilden, um eine Validierung der zweiten TPM-Authentifizierungsdaten (62) durch Erzeugen eines zweiten TPM-Benutzerschlüssels durch das TPM (16) unter Verwendung der zweiten TPM-Authentifizierungsdaten zum Einleiten des Boot-Prozesses anzufordern (214); und falls der zweite TPM-Benutzerschlüssel mit dem TPM-Benutzerschlüssel (50), der den ersten Benutzeridentifizierungsdaten (60) zugeordnet ist, übereinstimmt (216), erlaubt das BIOS (14), den Boot-Prozess durchzuführen (218).A computer security system comprising: a trusted platform module (TPM) ( 16 ) at least one TPM user key (upon request) ( 50 ) to create; a registration module ( 40 ) to enable users to perform a secure boot process using the TPM (FIG. 16 ), whereby the registration module ( 40 ) is configured to: first user identification data ( 60 ) and first TPM authentication data ( 62 ) from a user ( 106 ); to request the TPM ( 112 ), a TPM user key ( 50 ) using the first TPM authentication data ( 62 ) to create; and the TPM user key ( 50 ) and send it to the first user identification data ( 60 ) ( 116 ); a basic input / output system (BIOS) ( 14 ), which is then configured to provide second user identification data ( 60 ) and second TPM authentication data ( 62 ) by the user to initiate a boot process ( 204 ), where the BIOS ( 14 ) is configured to interface with the TPM ( 16 ) to validate the second TPM authentication data ( 62 ) by generating a second TPM user key by the TPM ( 16 ) using the second TPM authentication data to initiate the boot process ( 214 ); and if the second TPM user key with the TPM user key ( 50 ), the first user identification data ( 60 ) is assigned Right ( 216 ), allows the BIOS ( 14 ) to perform the boot process ( 218 ). System (10) gemäß Anspruch 1, wobei das BIOS (14) angepasst ist, um eine Schnittstelle mit dem TPM (16) zu bilden, um eine Erzeugung des zweiten TPM-Benutzerschlüssels (50) durch das TPM (16) anzufordern.System ( 10 ) according to claim 1, wherein the BIOS ( 14 ) is adapted to interface with the TPM ( 16 ) to generate a second TPM user key ( 50 ) through the TPM ( 16 ) to request. System (10) gemäß Anspruch 1 oder 2, wobei das TPM (16) angepasst ist, um die zweiten TPM-Authentifizierungsdaten (62) unter Verwendung des TPM-Benutzerschlüssels (50) zu validieren.System ( 10 ) according to claim 1 or 2, wherein the TPM ( 16 ) is adapted to receive the second TPM authentication data ( 62 ) using the TPM user key ( 50 ) to validate. System (10) gemäß einem der Ansprüche 1 bis 3, wobei das BIOS (14) angepasst ist, um von dem Benutzer die zweiten TPM-Authentifizierungsdaten (62) anzufordern.System ( 10 ) according to one of claims 1 to 3, wherein the BIOS ( 14 ) is adapted to receive from the user the second TPM authentication data ( 62 ) to request. System (10) gemäß einem der Ansprüche 1 bis 4, wobei das BIOS (14) angepasst ist, um eine Registrierungsoperation zum Erzeugen des TPM-Benutzerschlüssels (50) über das Registrierungsmodul (40) durchzuführen.System ( 10 ) according to one of claims 1 to 4, wherein the BIOS ( 14 ) is adapted to perform a registration operation to generate the TPM user key ( 50 ) via the registration module ( 40 ). System (10) gemäß einem der Ansprüche 1 bis 5, wobei das BIOS (14) angepasst ist, um den gespeicherten TPM-Benutzerschlüssel (50), der dem Benutzer entspricht, basierend auf den zweiten Benutzeridentifizierungsdaten (60) zu identifizieren, die durch den Benutzer geliefert werden.System ( 10 ) according to one of claims 1 to 5, wherein the BIOS ( 14 ) is adapted to the stored TPM user key ( 50 ) corresponding to the user based on the second user identification data ( 60 ) to be identified by the user. System (10) gemäß einem der Ansprüche 1 bis 6, wobei das BIOS (14) angepasst ist, um den gespeicherten TPM- Benutzerschlüssel (50), der dem Benutzer entspricht, basierend auf den zweiten Benutzeridentifizierungsdaten (60) zu identifizieren, die von dem Benutzer empfangen werden.System ( 10 ) according to one of claims 1 to 6, wherein the BIOS ( 14 ) is adapted to the stored TPM user key ( 50 ) corresponding to the user based on the second user identification data ( 60 ) to be received by the user. System (10) gemäß einem der Ansprüche 1 bis 7, wobei das BIOS (14) angepasst ist, um die zweiten TPM-Authentifizierungsdaten (62) zu dem TPM (16) zu einer Erzeugung des zweiten Benutzerschlüssels (50) zu übertragen.System ( 10 ) according to one of claims 1 to 7, wherein the BIOS ( 14 ) is adapted to receive the second TPM authentication data ( 62 ) to the TPM ( 16 ) to a generation of the second user key ( 50 ) transferred to. System (10) gemäß einem der Ansprüche 1 bis 8, wobei das BIOS (14) angepasst ist, um den Boot-Prozess ansprechend auf eine Validierung der zweiten TPM-Authentifizierungsdaten (62) durch das TPM (16) einzuleiten.System ( 10 ) according to one of claims 1 to 8, wherein the BIOS ( 14 ) is adapted to the boot process in response to a validation of the second TPM authentication data ( 62 ) through the TPM ( 16 ). System (10) gemäß einem der Ansprüche 1 bis 9, wobei das BIOS (14) angepasst ist, um die zweiten TPM-Authentifizierungsdaten (62) von dem Benutzer anzufordern.System ( 10 ) according to one of claims 1 to 9, wherein the BIOS ( 14 ) is adapted to receive the second TPM authentication data ( 62 ) to request from the user.
DE102005040073A 2004-09-23 2005-08-24 Computer Security System Expired - Fee Related DE102005040073B4 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/947,717 2004-09-23
US10/947,717 US7711942B2 (en) 2004-09-23 2004-09-23 Computer security system and method

Publications (2)

Publication Number Publication Date
DE102005040073A1 DE102005040073A1 (en) 2006-04-06
DE102005040073B4 true DE102005040073B4 (en) 2010-04-29

Family

ID=35221335

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005040073A Expired - Fee Related DE102005040073B4 (en) 2004-09-23 2005-08-24 Computer Security System

Country Status (5)

Country Link
US (1) US7711942B2 (en)
JP (1) JP4323473B2 (en)
CN (1) CN1752887B (en)
DE (1) DE102005040073B4 (en)
GB (1) GB2418501B (en)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8166296B2 (en) 2004-10-20 2012-04-24 Broadcom Corporation User authentication system
US7725703B2 (en) * 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module
US8028172B2 (en) 2005-01-14 2011-09-27 Microsoft Corporation Systems and methods for updating a secure boot process on a computer with a hardware security module
US7565553B2 (en) * 2005-01-14 2009-07-21 Microsoft Corporation Systems and methods for controlling access to data on a computer with a secure boot process
US7506380B2 (en) * 2005-01-14 2009-03-17 Microsoft Corporation Systems and methods for boot recovery in a secure boot process on a computer with a hardware security module
US8184811B1 (en) * 2005-10-12 2012-05-22 Sprint Spectrum L.P. Mobile telephony content protection
US8190916B1 (en) * 2006-07-27 2012-05-29 Hewlett-Packard Development Company, L.P. Methods and systems for modifying an integrity measurement based on user authentication
US8555072B2 (en) * 2006-08-31 2013-10-08 International Business Machines Corporation Attestation of computing platforms
JP2008072613A (en) * 2006-09-15 2008-03-27 Fujitsu Ltd Management system, management device, and management method
US9262602B2 (en) 2006-09-29 2016-02-16 Hewlett-Packard Development Company, L.P. Extensible bios interface to a preboot authentication module
US20080148387A1 (en) * 2006-10-18 2008-06-19 Madina Shab H Trusted platform module management system and method
CN101226572B (en) * 2007-01-16 2010-05-19 瑞达信息安全产业股份有限公司 Information safety computer for protecting basic input/output system safety
JP2008226191A (en) * 2007-03-15 2008-09-25 Nec Corp System, method, and program for authenticating information processing terminal
US8886955B2 (en) * 2007-03-28 2014-11-11 Nuvoton Technology Corporation Systems and methods for BIOS processing
US20080244689A1 (en) * 2007-03-30 2008-10-02 Curtis Everett Dalton Extensible Ubiquitous Secure Operating Environment
US9026771B2 (en) * 2007-04-27 2015-05-05 Hewlett-Packard Development Company, L.P. Secure computer system update
US20090036096A1 (en) * 2007-07-30 2009-02-05 Ibrahim Wael M Using an authentication ticket to initialize a computer
CN101441601B (en) * 2007-11-22 2011-03-16 中国长城计算机深圳股份有限公司 Ciphering transmission method of hard disk ATA instruction and system
US8566600B2 (en) * 2008-02-29 2013-10-22 Lenovo (Singapore) Pte. Ltd. Password management outside of a BIOS
CN101526981A (en) * 2008-03-06 2009-09-09 华邦电子股份有限公司 System and method for processing basic input/output system
WO2009123631A1 (en) * 2008-04-02 2009-10-08 Hewlett-Packard Development Company, L.P. Binding a cryptographic module to a platform
US9015454B2 (en) 2008-05-02 2015-04-21 Hewlett-Packard Development Company, L.P. Binding data to computers using cryptographic co-processor and machine-specific and platform-specific keys
CN101281577B (en) * 2008-05-16 2010-06-23 北京工业大学 Dependable computing system capable of protecting BIOS and method of use thereof
US8132019B2 (en) * 2008-06-17 2012-03-06 Lenovo (Singapore) Pte. Ltd. Arrangements for interfacing with a user access manager
TW201013418A (en) * 2008-09-23 2010-04-01 Asustek Comp Inc Computer system and method for connecting remote disk through internet
US8595491B2 (en) * 2008-11-14 2013-11-26 Microsoft Corporation Combining a mobile device and computer to create a secure personalized environment
US8923520B2 (en) * 2009-02-06 2014-12-30 Dell Products L.P. System and method for recovery key management
WO2010113282A1 (en) 2009-03-31 2010-10-07 富士通株式会社 A reconfigurable information processing device having a verification function and a control method therefor
JP4852625B2 (en) * 2009-04-16 2012-01-11 東芝テック株式会社 Information processing device
WO2010138109A1 (en) 2009-05-26 2010-12-02 Hewlett-Packard Development Company, L.P. System and method for performing a management operation
US8418259B2 (en) * 2010-01-05 2013-04-09 Microsoft Corporation TPM-based license activation and validation
US8996851B2 (en) * 2010-08-10 2015-03-31 Sandisk Il Ltd. Host device and method for securely booting the host device with operating system code loaded from a storage device
US8756409B2 (en) * 2010-10-13 2014-06-17 International Business Machines Corporation System, method and computer program product for retrieving data at boot time
US8782389B2 (en) 2011-07-19 2014-07-15 Sandisk Technologies Inc. Storage device and method for updating a shadow master boot record
US8918862B2 (en) * 2011-08-31 2014-12-23 International Business Machines Corporation Managing access to storage media
KR101874081B1 (en) 2012-06-07 2018-07-03 에스케이테크엑스 주식회사 Cloud Service Supporting Method And System based on a Enhanced Security
US9239920B2 (en) * 2013-04-23 2016-01-19 Qualcomm Incorporated Generation of working security key based on security parameters
US10339317B2 (en) * 2015-12-18 2019-07-02 Intel Corporation Computing devices
US10541816B2 (en) 2016-06-01 2020-01-21 International Business Machines Corporation Controlling execution of software by combining secure boot and trusted boot features
US10462664B2 (en) * 2017-08-02 2019-10-29 Dell Products, Lp System and method for control of baseboard management controller ports
US20200302060A1 (en) * 2017-12-14 2020-09-24 Hewlett-Packard Development Company, L.P. Enabling access to capturing devices by basic input and output systems (bios)
JP6653029B1 (en) * 2019-01-15 2020-02-26 レノボ・シンガポール・プライベート・リミテッド Information processing system, information processing apparatus, and information processing method
CN109992933A (en) * 2019-04-03 2019-07-09 中电科技(北京)有限公司 The firmware of PIN-based code authorization starts method
JP7428049B2 (en) 2020-03-30 2024-02-06 大日本印刷株式会社 Devices, secure elements and device secure boot methods

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5844986A (en) * 1996-09-30 1998-12-01 Intel Corporation Secure BIOS
US5982892A (en) * 1997-12-22 1999-11-09 Hicks; Christian Bielefeldt System and method for remote authorization for unlocking electronic data
US6633981B1 (en) * 1999-06-18 2003-10-14 Intel Corporation Electronic system and method for controlling access through user authentication
US20040073806A1 (en) * 2002-10-09 2004-04-15 Zimmer Vincent J. Encapsulation of a TCPA trusted platform module functionality within a server management coprocessor subsystem

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892906A (en) 1996-07-19 1999-04-06 Chou; Wayne W. Apparatus and method for preventing theft of computer devices
US6400823B1 (en) * 1996-12-13 2002-06-04 Compaq Computer Corporation Securely generating a computer system password by utilizing an external encryption algorithm
US6535976B1 (en) * 1997-03-27 2003-03-18 International Business Machines Corporation Initial program load in data processing network
KR100310093B1 (en) 1998-07-15 2001-11-15 윤종용 Security method of personal computer using password
US6978385B1 (en) * 2000-03-01 2005-12-20 International Business Machines Corporation Data processing system and method for remote recovery of a primary password
US7117376B2 (en) 2000-12-28 2006-10-03 Intel Corporation Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations
US7490250B2 (en) 2001-10-26 2009-02-10 Lenovo (Singapore) Pte Ltd. Method and system for detecting a tamper event in a trusted computing environment
US7107460B2 (en) 2002-02-15 2006-09-12 International Business Machines Corporation Method and system for securing enablement access to a data security device
JP3863447B2 (en) 2002-03-08 2006-12-27 インターナショナル・ビジネス・マシーンズ・コーポレーション Authentication system, firmware device, electrical device, and authentication method
US7216369B2 (en) 2002-06-28 2007-05-08 Intel Corporation Trusted platform apparatus, system, and method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5844986A (en) * 1996-09-30 1998-12-01 Intel Corporation Secure BIOS
US5982892A (en) * 1997-12-22 1999-11-09 Hicks; Christian Bielefeldt System and method for remote authorization for unlocking electronic data
US6633981B1 (en) * 1999-06-18 2003-10-14 Intel Corporation Electronic system and method for controlling access through user authentication
US20040073806A1 (en) * 2002-10-09 2004-04-15 Zimmer Vincent J. Encapsulation of a TCPA trusted platform module functionality within a server management coprocessor subsystem

Also Published As

Publication number Publication date
DE102005040073A1 (en) 2006-04-06
CN1752887A (en) 2006-03-29
JP4323473B2 (en) 2009-09-02
CN1752887B (en) 2010-06-09
GB2418501B (en) 2009-04-29
US20060064752A1 (en) 2006-03-23
JP2006092533A (en) 2006-04-06
GB0518575D0 (en) 2005-10-19
GB2418501A (en) 2006-03-29
US7711942B2 (en) 2010-05-04

Similar Documents

Publication Publication Date Title
DE102005040073B4 (en) Computer Security System
EP3574625B1 (en) Method for carrying out an authentication
US8099765B2 (en) Methods and systems for remote password reset using an authentication credential managed by a third party
US8332637B2 (en) Methods and systems for nonce generation in a token
DE60007724T2 (en) CHIP CARD USER INTERFACE FOR A TRUSTED COMPUTER PLATFORM
CN104104672B (en) The method that dynamic authorization code is established in identity-based certification
DE102020122712A1 (en) INTEGRITY MANIFESTO CERTIFICATE
DE102005037878B4 (en) System and method for remote security activation
US20070300077A1 (en) Method and apparatus for biometric verification of secondary authentications
DE112009004762T5 (en) SYSTEM AND METHOD FOR PERFORMING A MANAGEMENT SOLUTION
CN102027480B (en) System and method for providing a system management command
DE102015209108A1 (en) Method and decision gateway for authorizing a function of an embedded controller
EP2533172A1 (en) Secure access to data in a device
DE19827659A1 (en) Systems and methods for storing data and protecting the data against unauthorized access
DE112007001635T5 (en) Authentication of components in computer systems
DE102013108020A1 (en) Authentication scheme for activating a special privilege mode in a secure electronic control unit
DE112008000298T5 (en) A method for generating a digital fingerprint by means of a pseudorandom number code
DE102013108022A1 (en) Method for activating the development mode of a secure electronic control unit
CN103975567B (en) Two-factor authentication method and virtual machine facility
DE102018126136A1 (en) Biometric authentication technologies before booting
WO2020143877A1 (en) Method for securely providing a personalized electronic identity on a terminal
EP3908946B1 (en) Method for securely providing a personalized electronic identity on a terminal
DE102005014352A1 (en) Method and control device for controlling access of a computer to user data
CN103179089A (en) System and method for identity authentication for accessing of different software development platforms
CN108965335B (en) Method for preventing malicious access to login interface, electronic device and computer medium

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021220000

Ipc: G06F0021570000